VBS.Downloader-AJV[trj]

Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Après avoir utilisé ma clé USB dans un cybercafé, je réalise en les réutilisant que mes icônes de dossiers sont des raccourcis. J'effectue un scan et Avast me détecte le fichier [Embedded.MSEncoded] infecté par VBS.Downloader-AJV[trj]. Je tente de supprimer ce fichier régulièrement mis en quarantaine par Avast continue de m'alerter sans cesse. Je retire ma clé et cela continue sur mon ordinateur. Scénario catastrophe.
Je me renseigne et installe Marmiton, désactive le Windows Script Host, installe Remediate VBS Worm et nettoie ma clé USB infecté. La procédure se passe correctement. Je ne suis pas sûre d'avoir nettoyé correctement mon ordi ensuite puisque qu'Avast continue de m'alerter.

Le lien du rapport Remediate : https://pjjoint.malekal.com/files.php?id=20180807_i9i11d12l13k8

J'ai lu qu'il serait bien que j'utilise USBfix. Que dois-je faire?
Merci pour votre aide...

5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Déjà pour vérifier que l'ordinateur n'est pas infecté.

Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20180807_e10n6f6x10l11
Shortcut : https://pjjoint.malekal.com/files.php?id=20180807_x9n10n15v11s11
Addition : https://pjjoint.malekal.com/files.php?id=20180807_l10f15v5m12i10

Rapport USBFix : https://pjjoint.malekal.com/files.php?id=20180807_e13y11i7i9p6


Pardon d'avoir envahi l'autre site, je n'avais pas fait le lien.
0
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
L'ordinateur est touché, donc ça ne sert à rien de nettoyer les clés USB.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
CyberLink
Java


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 

CreateRestorePoint:
CloseProcesses:
2018-03-23 18:26 - 2018-03-23 18:26 - 000000000 _____ () C:\Users\Laura\AppData\Local\{321EAB4C-23A4-47AA-ADC0-8D81D45A24D6}
2018-03-27 00:53 - 2018-03-27 00:53 - 000000000 _____ () C:\Users\Laura\AppData\Local\{34CE6996-076D-486D-A83D-D724CA109815}
2018-03-28 14:32 - 2018-03-28 14:32 - 000000000 _____ () C:\Users\Laura\AppData\Local\{3DD63238-317A-4211-AE91-8061069202EB}
2018-03-25 22:55 - 2018-03-25 22:55 - 000000000 _____ () C:\Users\Laura\AppData\Local\{78FE9297-BCF6-4294-8420-1915C6017370}
2018-03-30 21:39 - 2018-03-30 21:39 - 000000000 _____ () C:\Users\Laura\AppData\Local\{87A126C3-0BBD-41F5-9CF3-E5E017D15390}
2018-03-22 05:42 - 2018-03-22 05:42 - 000000000 _____ () C:\Users\Laura\AppData\Local\{DBB8D2E0-EFA1-4A3A-AF7A-2103A43E1D0B} 
Task: {240FC693-4DC5-4138-835B-C9D2553D36D9} - System32\Tasks\{32AA49B0-C2EB-47A5-BD8E-E8CE3FE2560C} => C:\WINDOWS\system32\pcalua.exe -a C:\ProgramData\TVWizard\uninstall.exe -c /kb=y /ic=1 <==== ATTENTION
Task: {84D1E096-0EC6-4690-B470-1E6DA8729D9F} - System32\Tasks\{4F15A816-E401-4E91-A343-6B71D897FCE2} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\Laura\AppData\Roaming\omiga-plus\UninstallManager.exe -c  -ptid=tugs <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-08-07] ()
 C:\Users\Laura\AppData\Roaming\omiga-plus
C:\ProgramData\TVWizard
Startup: C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-08-07] ()
CHR HKU\S-1-5-21-34896754-2707889332-2859732775-1002\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

3)
Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour ! Merci pour tout!
Tout d'abord, je n'ai pas réussi à désintaller proprement/correctement Java & CyberLink. Pour Java il ne s'agissait pas du programme même mais seulement d'extensions, quoiqu'il en soit, je fais une recherche dans mes programmes files et ils ne le trouvent. Pour CyberLink ce n'est même pas dans le registre de mes programmes et fonctionnalités du Panneau de Configuration. Je l'ai trouvé dans Programmefiles mais je crains que le supprimer simplement ne suffisent pas à l’éradiquer comme on dit.

P.S : je remarque au redémarrage de l'ordinateur, après la manipulation FRST, que mon programme Marmiton est comme gelé. Impossible de désactivé les WSH


Ensuite le centre de maintenance m'avertit de cela :


Et Google me propose ceci, qu'en pensez-vous ?

Les rapports FRST suivent.
Merci encore!
0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Je préfère attendre de faire le nettoyage Remediate si jamais ma manip' avec FRST n'a pas été la bonne.
0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
J'y pense, dans l'idée de nettoyer tous les périphériques ayant été en contact avec l'infection, je réalise que ma clé USB a été inséré dans l'imprimante par laquelle on se connecte en réseau... Problématique? Infectée elle aussi?
0
Réponse 3 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Pour Google, c'est juste une pub provenant d'Avast! pour refiler leurs produits ....
Par contre WSH est activé sur Marmiton pas.
Faut lancer Marmiton en administrateur (clic droit / exécuter en tant qu'administrateur) pour que le bouton désactiver puisse être cliquable.

0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Ca y est, WSH est désactivé. Ma manipulation de FRST était ok? Je peux faire le Remediate? Ou je dois absolument supprimer Cyberlink avant, au cas où?
Pardon pour ces questions intempestives.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Pour te répondre pour FRST, il faudrait le rapport de nettoyage fixlog.txt
0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Rapport Remediate : https://pjjoint.malekal.com/files.php?id=20180808_w6t13f14e11b10
Rapport USBFIx : https://pjjoint.malekal.com/files.php?id=20180808_v9w13m8n6c11

Rapport Remediate : après analyse de 2 autres périphériques (je ne suis pas sûre de correctement décrypter les rapports, à savoir s'ils s'enregistrent dans un seul et même fichier, donc j'envoies tout .. ) : https://pjjoint.malekal.com/files.php?id=20180808_s9y9y8d6w10
Rapport USBFIX : https://pjjoint.malekal.com/files.php?id=20180808_x5o15k9o9n13

USBFix continue de me dire que mon PC n'est pas protégé.
0
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
MERCIIIIIIIIIIIIIIIIIIIIIIIII <3
Je ne suis pas sûre mais j'ai comme l'impression que ça va mieux.
0
Réponse 4 / 5
Noodle0902 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
 
Compliqué de tout faire ne décalé mais si cela est toujours d'actu voici le fameux rapport fixlog, fait à l'instant ainsi que les autres rapports associés : https://pjjoint.malekal.com/files.php?id=20180808_l15b15x9v6n13

Rapport FRST : https://pjjoint.malekal.com/files.php?id=FRST_20180808_h8p12o10v10n12
Rapport Addition : https://pjjoint.malekal.com/files.php?id=20180808_u11e10e137b14
Rapport Shortcut : https://pjjoint.malekal.com/files.php?id=20180808_r6i8y5j10i14
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Ca a l'air bon côté malwares.
Désinstalle USBfix, garde Remediate VBS pour nettoyer la clé USB si tu l'utilises sur un ordinateur infecté.
Marmiton protégera l'ordinateur de ce type d'infection.

Désinstalle Avast Cleanup Premium, inutile.

cacaoweb a été installé volontairement ?
si tu ne sais pas ce que c'est, lire : https://www.malekal.com/cacaoweb-virus-supprimer/

HKU\S-1-5-21-34896754-2707889332-2859732775-1002\...\Run: [cacaoweb] => C:\Users\Laura\AppData\Roaming\cacaoweb\cacaoweb.exe [452608 2018-06-28] ()
HKU\S-1-5-21-34896754-2707889332-2859732775-1002\...\Run: [uTorrent] => C:\Users\Laura\AppData\Roaming\uTorrent\uTorrent.exe [2146496 2017-08-26] (BitTorrent Inc.)
0

Discussions similaires

Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur
DexyFlex -
bazfile -

27 réponses
Win32 PUP et Win64 PUP
Bleach0723 -
Utilisateur anonyme -

41 réponses
supprimer trojan-gen ?
benoit -
beggy -

5 réponses